Hi bạn langtu0401

Ngay từ đầu, trong quá trình lên kế hoạch triển khai vùng DMZ, bạn cần phải quyết định liệu bastion host sẽ được cấu hình để thành một phần của domain (join domain, domain member) hay là một server riêng lẻ (standalone server). Bằng việc cấu hình server của bạn trở thành một domain member, bạn có thể dễ dàng thiết lập các chính sách bảo mật của mình trên đó; đồng thời, việc cập nhật các bản vá (hệ điều hành, ứng dụng, bảo mật…) cũng trở nên đơn giản hơn. Các thiết lập bảo mật có thể được triển khai tại các container “cha” phía trên (parent containers như OU…), từ đó chúng sẽ được áp xuống các đối tượng (object) bên trong. Với quyết định như vậy, bạn cần nghĩ đến giả định: bastion host có thể sẽ bị tấn cống, hacked; và chúng ta mong muốn và phải làm giảm thiểu tối đa mọi tổn thất có thể xảy ra trong trường hợp này.

Mặt khác, việc quản trị sẽ trở nên ít thuận tiện hơn khi bạn triển khai bastion host như một server riêng lẻ (standalone server), nhưng nó giúp bạn ngăn được các mối nguy cơ một khi server bị “chiếm đoạt”. Nếu một hacker hay attacker chiếm được quyền điểu khiển trên bastion host, họ chỉ có khả năng lấy được quyền của các local account, trong khi các tài khoản này không có tác dụng gỉ với phần còn lại của hệ thống mạng; bên cạnh đó, kẻ tấn công sẽ tốn rất nhiều công sực để dành quyền kiểm soát được các nonlocal account. Chính vì li do này, cách tốt nhất chính là cấu hình bastion host trở thành server riêng lẻ (standalone server).

Tuy nhiên nếu như bạn xem xét việc cấu hình bastion host trở thành domain member là tuyệt đối cần thiết, và không muốn chúng là standalone server, thì bạn cần phải tiến hành một số bước và công việc để cho phép các traffic giao tiếp giữa bastion host với domain (domain communications) một cách đợn giản. Ví dụ như trên firewall ngăn cách giữa các bastion host với phần còn lại của internal network, bạn có thể tạo các rule cần thiết cho phép domain communications hợp lý. Một sô port giao tiếp mà bạn có thể mở trên firewall như:

• TCP 53 (DNS)
• UDP 53 (DNS)
• TCP 80 (Web access, HTTP)
• TCP 88 (Kerberos đến tất cả domain controller)
• UDP 88 (Kerberos đến tất cả domain controller)
• UDP 123 (NTP đến tất cả domain controller)
• TCP 135 (EndPointMapper đến tất cả domain controller)
• TCP 389 (LDAP đến tất cả domain controller)
• UDP 389 (LDAP đến tất cả domain controller)
• TCP 445 (SMB đến tất cả domain controller)
• TCP 3268 (LDAP đến global catalog server)
• Và một vài port tuỳ theo mô hình mạng bên bạn…

Như vậy, bạn có thể thấy được, việc cấu hình bastion host thành một domain member luôn đi kèm với việc thiệt lập rule bảo mật trên firewall và chúng không hề đơn giản. Nếu không cẩn thận, tại thời diểm bạn cấu hình firewall rules để cho các bastion host khác nhau trong vùng MDZ, mỗi bastion host cung cấp các services khác nhau, bạn có thể kết thúc với tập firewall rule rất phức tạp, cùng với số lượng lớn các “ngoại lệ” – exceptions cần thiết cho traffic cần thiết giữa các bastion host và domain controllers.

Hi vọng sẽ giúp bạn co được chút thông tin về thắc mắc trên.